wireshark应用层抓包分析报告模版.docVIP

..

PAGE/NUMPAGES

Wireshark

抓包分析

CONTENT

引言

1运用wireshark抓取网页服务协议并分析

1.1协议报文构造与分析

1.2S是什么

1.3与S比较

1.4分别在网络空闲与网络繁忙时比较有关报文传送区别

2运用wireshark抓取传播协议并分析

2.1SMTP发送协议构造

2.2POP3与IMAP协议构造区别

2.3网页版收发与客户端收发时使用协议比较

3运用wireshark抓取ftp文献传播协议

3.1ftp协议格式与特点分析

4分析DNS解析过程

4.1“.hzbook.”域名解析实例分析

4.2“.”域名解析实例分析

Ps：之前在写目录时候觉得这样来分析分析会对应用层协议理解愈加全面一点，不过基于多种原因只是完毕了黑色字体部分，并且还也许存在诸多错误。有机会可以深入完善。

引言

通过计算机网络基础前面时间学习，使我们对网络应用层协议有了一定理解。协议就像一门语言，需要定义语法、语意和语序（时序、同步）。语法即为协议详细格式；语意定义了详细格式中详细指代，例如说，空一行后数据表达为数据字段；就目前说掌握只是而言，我对语序理解还不是很清晰，这里就不加赘述。

下面将重要从应用层协议出发，运用我们所学习过知识，对不一样应用祈求响应过程进行分析，探究在不一样网络工作环境下网络协议变化。

本次抓包分析环境为IE9浏览器，使用wireshark版本为32位第1.4.9版。

1运用wireshark抓取网页服务协议并分析

1.1协议报文构造与分析

首先清空IE浏览器缓存、cookie等信息，并运行wireshark。

输入“”后得到抓包文献如图1所示。

图1“”后得到抓包数据

第1行SSDP协议也是应用层协议，大体意思就是用来申明自已存在。从在No.14时顾客向服务器（web缓存）发起360云盘网页祈求。在No.25时顾客想360云盘服务器直接发起祈求，阐明在此之前web缓存已将360云盘服务器地址信息转发给顾客。同步此后通信双方为顾客与360云盘服务器，并没有通过web缓存，阐明实际web缓存作用并不像我们所学习那样——web缓存要缓存小区域说用顾客祈求过网页文献，并在超时时才给以删除。在No.25时，顾客向服务器发起网页祈求，同步在No.32时服务器向顾客返回祈求信息（html）即基本网页文献。此后，顾客发应用文献申请。No.34、35中顾客发起申请并为按照次序返回给顾客，而是No.35祈求先抵达，No.34后到，不过顾客却没有再次发出祈求报文，阐明定期器还没有超时，并且两个响应报文也许走了不一样路由途径。

图2TCPout-of-order

在No.135时，出现了陌生地址发送来报文，该报文采用是1.0协议，可见1.0与1.1监听端口都是80。报文传播层协议是TCP协议，采用IP地址以与端口号同步建立一对一连接关系，接受到陌生地址报文原因或许是360云盘网页上引用了其他服务器信息。但更多也许是报文地址出错，错发到这里了。

图3同样也是第三方服务器地址

No.364时，又是出现了第三方服务器地址，并没有出现图2中TCP乱序说法，因此此处第三方服务器更像是360云盘网页上引用其他服务器信息。

1.2S协议报文构造与分析

当我们在使用网盘时候，例如说酷盘，不难发现它使用URL是以s开头协议而不是我们所熟知协议。想必这两者之间必然存在一定联络，不过又有一定区别。下面就运用wireshark抓酷盘登陆时数据包来探究上述两者异同。

百度百科中对S即安全超文本传播协议是：S又称S-是一种结合而设计消息安全通信协议。S-协议为客户机和服务器提供了多种安全机制，这些安全服务选项是合用于Web上各类顾客。还为客户机和服务器提供了对称能力，同步维持通信模型和实行特征。

S-不需要客户方公用密钥证明，但它支持对称密钥操作模式。这意味着在没有规定顾客个人建立公用密钥状况下，会自发地发生私人交易。它支持端对端安全传播，客户机也许首先启动安全传播（使用报头信息），用来支持加密技术。

在语法上，S-报文与同样，由祈求行或状态行构成，背面是信头和主体。祈求报文格式由祈求行、通用信息头、祈求头、实体头、信息主体构成。对应报文由响应行、通用信息头、响应头、实体头、信息主体构成。

以上解释并没有十分透彻阐明与S究竟有无关